Вопросы и ответы с Межрегионального круглого стола по вопросам информационной безопасности 2024

Вопросы и ответы с Межрегионального круглого стола по вопросам информационной безопасности 2024


Накануне межрегионального круглого стола все участники мероприятия получили возможность направить свои вопросы, касающиеся информационной безопасности. В ходе встречи на них ответили эксперты:
  • Елизавета Сергеевна Подушкина, главный специалист отдела импортозамещения и защиты информации министерства цифрового развития, информационных технологий и связи Ростовской области.

  • Александр Немошкалов, директор по развитию бизнеса ООО «Код Безопасности»

  • Артём Половинко, директор по информационной безопасности ООО «Рубикон»

  • Денис Геннадьевич Никитин, заместитель начальника 1 отдела ФСТЭК России по Южному и Северо-Кавказскому федеральным округам.

Мы разделили вопросы по рубрикам, чтобы вы могли познакомиться с ответами экспертов и регуляторов.

Защита ЗО КИИ

Вопрос 1. В соответствии с п. 29.3 Приказа ФСТЭК России от 25.12.2017 г. № 239 прикладное ПО, планируемое к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимого объекта и обеспечивающее выполнение его функций по назначению, должно соответствовать ряду законодательных требований. При этом сведения о соответствии нужно запрашивать у Разработчика ПО. Что делать, если данные сведения разработчик не предоставляет?

Ответ. Обычно такая проблема возникает, если речь идет о разработчике зарубежного программного обеспечения. Отечественный разработчик такую информацию, как правило, предоставляет в соответствии с Приказом ФСТЭК России от 25.12.2017 г. № 239.

Если объект уже существующий, эксплуатируется и на него есть эксплуатационные документы, то здесь никаких проблем нет. Если же речь идет о создаваемом объекте, там нужно исполнить те требования, которые прописаны в п.29.3.

Однако в общем случае заказчик должен получить у производителя всю необходимую информацию.

Вопрос 2. На ЗО КИИ устанавливаем отечественное ПО, в состав которого входит LibreOffice, например, Astralinux. Можем ли мы в этом случае говорить о том, что LibreOffice – это тоже отечественное ПО или мы должны его как-то из операционной системы удалить?

Ответ. Удалять LibreOffice не нужно. По своему производству это не отечественное ПО, находится в свободном доступе и является заменой MS Office.

Сертифицирован дистрибутив, в том числе по оценочным уровням доверия, это говорит о том, что каких-то «закладок» в прикладном софте нет. Наша идеология импортозамещения направлена на то, чтобы исключить эти «закладки» со стороны зарубежных партнеров.

Вопрос 3. Вопрос касательно показателей методики оценки эффективности субъектов КИИ. Каким законом регулируется проведение самооценки или оценки эффективности? Или действующего НПА на данный момент нет, и он будет разработан в ближайшее время?

Ответ. В самой методике написано, что нормативный правовой акт, согласно которому нужно будет проводить такой подсчет, находится на стадии разработки. На данный момент эта норма рекомендованная. Стоит начать изучать этот методический документ для того, чтобы, как только выйдет нормативно-правовой акт, специалистам можно было сразу рассчитать те показатели, которые необходимы для информирования ФСТЭК об оценке защищенности систем.

Вопрос 4. Рационально ли в ЗО КИИ проходить сертификацию 27001 и создавать в принципе СУИБ?

Ответ. Со стороны регуляторов сферы информационной безопасности нет обязательного требования по прохождению данной сертификации.

Сертификат ISO IEC 27001 и ГОСТ Р ИСО/МЭК 27001-2021 — это один из способов продемонстрировать заинтересованным сторонам и клиентам, что вы готовы и способны управлять информацией надежно и безопасно. Наличие сертификата, выданного аккредитованным органом по оценке соответствия, может обеспечить дополнительный уровень доверия.

Защита персональных данных

Вопрос 1. Согласно №152-ФЗ ч.2 ст.11 нет необходимости собирать согласие на сбор и обработку ПДн, если речь идет об антитеррористической защищенности или обороноспособности. Можно ли использовать эту связку, чтобы уйти от необходимости собирать согласия на сбор и обработку ПДн?

Ответ. Если мы говорим про биометрию и она используется только для этого, то такая обработка должна регламентироваться внутренними документами, причем соблюдение документов обязательно. В такой ситуации отсылка к ст.1 ч.2 №152-ФЗ будет правомерной.

Вопрос 2. Персональные данные и информационная система, которая их обрабатывает. Существует закрытая сеть, не имеющая доступа к общественным сетям, в том числе нет доступа к Интернету. Нужно ли разрабатывать компенсирующие меры?

Ответ. Закрытая сеть не может являться панацеей. В сетевом оборудовании тоже периодически возникают уязвимости, которые необходимо устранять. Они могут позволить выйти за пределы своего VLAN в обход межсетевого экрана.

Компенсировать это можно, когда маршрутизатором по умолчанию является межсетевой экран. Но возможно ли это сделать – зависит от конкретной инфраструктуры.

Если говорить про программные средства, то возможно использование хостовых МЭ. Тогда контролируется тот трафик, который, гипотетически, может прийти.

Возможность компенсирующих мер установлена Приказом №21. Их разрабатывают либо совместно с лицензиатом, либо лицензиат должен подтвердить их соответствие. Но рекомендация – отталкиваться от модели угроз и обосновывать применение тех или иных мер.

Вопрос 3. Есть аппаратный сервер, на котором ряд виртуальных машин. Одна из них обслуживает персональные данные. Для обеспечения безопасности ПДн будет ли достаточно только средств межсетевого экранирования?

Ответ. Здесь следует для начала уточнить, каким образом организуется разграничение между виртуальными машинами? Не зря в документах ФСТЭК России (в Приказах №17, №21) прописаны меры защиты виртуализации, виртуальной инфраструктуры, а также контроль потоков. То есть существуют определенные меры, которые мы обязаны реализовать. Чем мы их реализуем? К примеру, у ООО «Код Безопасности» есть средства защиты виртуализации, которые реализуют межсетевое экранирование на уровне систем, на уровне разделения потоков между виртуальными машинами внутри среды виртуализации.

Инфраструктура может быть разной в зависимости от того, как у вас организован аппаратный сервер. К примеру, на него может приходить интерфейс управления, а также на уровне виртуальных машин могут быть разнесены VLAN, которые заводятся на межсетевой экран.

Посмотрите по своей модели угроз, кто у вас является нарушителем, сможет ли этот потенциальный нарушитель взломать именно хост гипервизора, чтобы получить доступ к виртуальной машине с персональными данными. Если у вас нет нарушителя с настолько высоким потенциалом, то будет достаточно применения средств межсетевого экранирования в классическом исполнении.

Вопрос 4. Существует организация, некий оператор связи, у которого есть коммерческий продукт, допустим, 1С. Также у организации заключен договор с внешним контрагентом, который занимается техподдержкой, разработкой этого продукта. В 1С обрабатываются персональные данные.
С точки зрения разделения ответственности и законодательства в целом нужно ли между оператором, использующим продукт, и внешними разработчиками, которые имеют доступ к персональным данным, составлять какое-то поручение на обработку ПДн, упомянутое в №152-ФЗ? Либо достаточно договора о неразглашении? Либо можно включить в основной договор некие положения о неразглашении персональных данных?

Ответ. В вашем случае есть аутсорсинг. Этот аутсорсинг не предполагает доступа к персональным данным. Контрагент обслуживает 1С, дорабатывает конфигурацию, пишет какие-то дополнительные скрипты. Однако если он получает доступ к персональным данным, то фактически этот доступ – несанкционированный. Этот момент должен быть четко регламентирован.

Сейчас на рынке достаточно много продуктов, которые обеспечивают контроль действий администраторов, привилегированных пользователей. Если вы как заказчик считаете, что обслуживающая организация может получить несанкционированный доступ к персональным данным, то необходимо внедрение таких «контролирующих» продуктов.

Также можно рассмотреть вариант с разделением, когда доступ у подрядчика есть только к тестовому контуру, который не наполнен данными. Тогда перенос в основной контур осуществляется или своими силами компании-заказчика, или непосредственно на месте под контролем специалиста по ИБ компании-заказчика.

Здесь мы снова возвращаемся к Приказу №21 ФСТЭК и к контролю потоков информации. Фактически подрядчик не имеет права получать персональные данные. Как обеспечить исключение такого доступа – это уже вопрос проектирования системы защиты.

Другие вопросы по выполнению требований по технической защите информации

Вопрос 1. Допустимо ли проводить аттестационные испытания значимого объекта, который не является государственной информационной системой, в соответствии с Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25.12.2017 г. № 239?

Могут ли аттестационные испытания значимого объекта, который не является государственной информационной системой, быть совмещены с проведением приемочных испытаний значимого объекта и/или системой обеспечения информационной безопасности значимого объекта?

Ответ. Субъект сам выбирает, какую форму он будет делать реализовывать – аттестацию или приемочные испытания. Аттестация – это более сложная форма, и субъект вправе сам решать, будет ли он проходить аттестацию или не будет. В принципе, приемочных испытаний вполне достаточно.

Всё зависит от объекта аттестации. Если аттестовываем АСУ ТП без обработки ПДн и класса защищенности, то проводятся испытания в соответствие с мерами 239 приказа ФСТЭК России. Если ГИС, которая обрабатывает ПДн и относится ЗО КИИ, то идут сначала предварительные испытания, потом опытная эксплуатация, а приемочные испытания совпадают с аттестационными испытаниями.

При аттестации следует обращать внимание на класс защиты и уровень защищенности. Осуществлять аттестацию нужно по высшему уровню. Например, если класс защиты – 2, а категория защищенности – 3, то можно проводить по второму классу как по основному, а дополнять проверкой реализации мер по 3 категории значимости.

Вопрос 2. Каким образом реализовать меру АВЗ.5 «Использование средств антивирусной защиты различных производителей» Состава мер по обеспечению безопасности для значимого объекта соответствующей категории значимости» утвержденного Приказом ФСТЭК России от 25.12.2017 г. № 239?

Ответ. Для этой меры, преимущественно, имеется ввиду применение потоковых антивирусов межсетевых экранов, которые направлены на блокирование веб-угроз. Потоковые антивирусы не вступают в конфликт с основным антивирусом и делают защиту комплексной.

Вопрос 3. 28 октября 2022 года была утверждена Методика тестирования обновлений безопасности программных, программно-аппаратных средств. По данной методике возник целый ряд вопросов:

На каком уровне и кем сейчас выполняются данные методические рекомендации по проверке?

Были ли прецеденты в тестировании известного ПО? Нашли ли уязвимости с момента запуска методики?

У кого согласно методике, реализованы и запущены испытательные лаборатории по тестированию, у нас в стране?

Планируется ли выпускать более подробную инструкцию по тестированию для технических специалистов?

Будет или есть возможность обратиться за помощью в проведении тестирования, во ФСТЭК?

Ответ. Все подобные Методики разрабатывает ФАУ «ГНИИИ ПТЗИ ФСТЭК России». Статистика по выполнению методических рекомендаций региональными управлениями ФСТЭК не ведется. Возможно, подобные данные собирает центральный аппарат.

Обращаться за помощью в проведении тестирования лучше всего к институту-разработчику Методики, потому что функция оказания содействия в части исполнения ее положений на ФСТЭК не возлагалась, подобными полномочиями Служба не наделена.

Вопрос 4. Можно ли проводить периодический контроль раз в 2 года в соответствии с Приказом №77 своими силами?

Ответ. Только если организация включена в перечень органов по аттестации.

Контроль должна проводить организация-лицензиат ФСТЭК России, которая является органом по аттестации. Приказ №77 разрешает органам государственной власти и органам местного самоуправления проводить контроль своими силами, но только в том случае, если они получат разрешение от центрального аппарата ФСТЭК России.

СЗИ и импортозамещение

Вопрос 1. Планируется ли выпуск TLS ООО «Код Безопасности» в программном исполнении?

Ответ. Сейчас ведется активная разработка версии 2.6. Вопрос возникает с сертификацией этой версии по требованиям ФСБ. Технически версия уже есть, но она пока не сертифицирована. Как только нам удастся решить вопрос с сертификацией, версия перейдет в коммерческое состояние.

Вопрос 2. Планируется ли программа управления ЦУС для Континент 3 ООО «Код Безопасности» портировать на Linux?

Ответ. Да, такие планы есть, мы активно занимаемся поэтапной реализацией. Если взять «Континент 4», то уже примерно 50% системы управления переведено на «тонкий клиент» (то есть на браузер). Если система управления в «Континентах 3» — это ПУ ЦУС, которая работает полностью на Windows, то в «Континент 4» мы систему уже разделили. Управление осталось в консоли ПУ ЦУС, для этого Windows все еще необходима. Мониторинг перенесли полностью в web-консоль. Соответственно, консоль у нас может работать на любой платформе, будь то любые версии Windows или Linux – браузер везде одинаковый.

Сейчас для версии «Континент 3.Х», то есть «Континент 3.9» на текущий момент, ведутся работы по легализации варианта использования ПУ ЦУС на Linux-платформах. После их завершения можно будет законно запускать ПУ ЦУС в этом варианте. Эта возможность, скорее всего, попадет в версию 3.9.4, которая выйдет в релиз ближе к концу осени 2024 года.

Перенос на Linux полноценный версии «Континент 3.Х» вряд ли будет делаться, так как это ресурсоемкая задача, которую можно решить упомянутыми выше «обходными путями». Что касается версии «Континент 4», то в будущем она будет перенесена в web-консоль, и таким образом мы решим проблему с зависимостью от платформы Windows.

Также у нас сейчас активно разрабатывается новый продукт. Он называется «Orchestrator». Этот продукт изначально разрабатывается в среде Linux, он платформенно независим. В перспективе «Orchestrator» научится управлять всеми нашими продуктами.

Вопрос 3. Какую ОС лучше выбрать при импортозамещении Astralinux или Altlinux? У какой ОС лучше совместимость с аппаратной частью ПК? Какая ОС лучше адаптирована для работы в системах госучреждения? У какой ОС лучше взаимодействует техническая поддержка? У какой ОС графическая оболочка более приятна и интуитивно понятна для работы обычных пользователей? У какой ОС присутствуют права администратора в графической оболочке? При выборе ОС какую лучше выбирать? Версию, какой сертификат соответствия?

Ответ. Однозначно ответить на все эти вопросы сложно. Конечно, каждый разработчик будет продвигать свои продукты. Чтобы сделать правильный выбор, в каждом конкретном случае нужно отталкиваться от задачи и выбирать то, что наиболее подходит для ее решения. Также стоит обращать внимание на финансовую устойчивость разработчика, количество реализованных проектов.

Понятно, что использовать нужно отечественные разработки, но это не должно быть единственной самоцелью. Конечная цель – построить защищенную систему и получить аттестат соответствия. Нужно выполнить ряд мер, в том числе один из пунктов – это использование отечественного ПО, в частности – ОС.

Однако отечественная ОС выполняет не все требования. В частности, тот же самый контроль съемных носителей – эта функция не реализована ни в одной из отечественных сертифицированных ОС. Антивируса встроенного нет, сертифицированного межсетевого экрана, системы обнаружения вторжений – нет. То есть существует целый ряд пунктов, которые сертифицированная ОС закрыть не сможет.
Даже если ее приобрести, то аттестовать такую систему не получится. Следовательно, возникает вопрос по использованию дополнительных наложенных средств, которые эти требования позволят реализовать. Что касается государственных органов, то здесь все достаточно прозрачно.

Если смотреть с точки зрения органов власти, к примеру, Минцифры Ростовской области тестировали несколько разных ОС, и остановились на Базальте. По органам власти примерно на 90% используется Базальт. Если говорить об органах местного самоуправления, они самостоятельно делают выбор, и в этом секторе большинство использует Астру. Минцифры не против такого варианта. Если устраивает функционал этой ОС, то ее можно использовать.

Если вы используете специфическое ПО, которое разрабатывалось в индивидуальном порядке, то стоит связаться с разработчиком и уточнить, с каким дистрибутивом его продукт будет работать стабильнее.

Стоит учесть, что срок перехода на отечественные средства защиты – 1 января 2025 года – в равной степени распространяется не только на гос.органы, но и на субъекты КИИ любых форм собственности. Для операторов персональных данных, которыми фактически являются почти все коммерческие организации, четкий срок пока не определен. Регуляторы ждут принятия оборотных штрафов, которые наконец-то заставят задуматься над тем, что, как и какими силами используют компании.

Заключение

Приведенные ответы экспертов и регуляторов дают возможность разобраться с рядом вопросов. Мы рекомендуем использовать их как некий чек-лист по различным направлениям ИБ.
Также вы всегда можете оставить интересующие вопросы через форму обратной связи.

Межрегиональный круглый стол
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.